sep 02, 2025Ravie Lakshmananmalware / Inteligencia de amenazas El actor de amenaza vinculado a Corea del Norte conocido como el Grupo Lazarus se ha atribuido a una campaña de ingeniería social que distribuye tres piezas diferentes de malware de plataforma cruzada llamada Pondrat, ThingEforestrat y Remotepe. El ataque, observado por FOX-IT del grupo NCC en 2024, atacó a una organización en el sector de finanzas descentralizadas (DEFI), lo que finalmente condujo al compromiso del sistema de un empleado. «A partir de ahí, el actor realizó un descubrimiento desde el interior de la red utilizando diferentes ratas en combinación con otras herramientas, por ejemplo, para cosechar credenciales o conexiones proxy», dijeron Yun Zheng Hu y Mick Koomen. «Posteriormente, el actor se mudó a una rata más sigilosa, lo que probablemente significa una siguiente etapa en el ataque». La cadena de ataque comienza con el actor de amenaza que se hace pasar por un empleado existente de una compañía comercial en Telegram y utilizando sitios web falsos disfrazados de calendamente y Picktime para programar una reunión con la víctima. Aunque actualmente no se conoce el vector de acceso inicial exacto, el punto de apoyo se aprovecha para implementar un cargador llamado PerfhLoader, que luego deja caer Pondrat, un malware conocido evaluado como una variante despojada de PoolRat (también conocida como simplesea). La compañía de ciberseguridad dijo que hay alguna evidencia que sugiere que se usó un exploit de día cero en el navegador Chrome en el ataque. También se entregan junto con Pondrat se encuentran una serie de otras herramientas, que incluyen una captura de pantalla, Keylogger, Chrome Credential y Cookie Stealer, Mimikatz, FRPC y programas proxy como MidProxy y Proxy Mini. «Pondrat es una rata sencilla que permite que un operador lea y escriba archivos, inicie los procesos y ejecute ShellCode», dijo Fox-It, y agregó que se remonta a al menos 2021. «El actor usó Pondrat en combinación con theoforestrat durante aproximadamente tres meses, a la limpieza e instalar la rata más sofistada llamada Remotepe». El malware Pondrat está diseñado para comunicarse a través de HTTP (S) con un servidor de comando y control de codificación (C2) codificada para recibir más instrucciones, con ThmeForStat lanzado directamente en la memoria, ya sea a través de Pondrat o un cargador dedicado. ThmeforStatrat, como Pondrat, monitores para nuevas sesiones de escritorio remoto (RDP) y contacta a un servidor C2 a través de HTTP (s) para recuperar hasta los veinte comandos para enumerar archivos/directorios, realizar operaciones de archivos, ejecutar comandos, probar la conexión TCP, el archivo TimestOmp basado en otro archivo en disco, obtener la lista de procesos, descargar archivos, inyectores shellcode, spwning y spebernate y spbernate y spbernate y spebernat cantidad específica de tiempo. Fox-IT dijo que ThemeforStat comparte similitudes con un Romeogolf con nombre en código de malware que fue utilizado por el Grupo Lázaro en el ataque destructivo de limpiaparabrisas de noviembre de 2014 contra Sony Pictures Entertainment (SPE). Fue documentado por Novetta como parte de un esfuerzo de colaboración conocido como Operación Blockbuster. Remotepe, por otro lado, es recuperado de un servidor C2 por Remotepeloader, que, a su vez, está cargado por DPAPILOADER. Escrito en C ++, Remotepe es una rata más avanzada que probablemente esté reservada para objetivos de alto valor. «Pondrat es una rata primitiva que proporciona poca flexibilidad, sin embargo, como una carga útil inicial, logra su propósito», dijo Fox-It. «Para tareas más complejas, el actor usa theforestrat, que tiene más funcionalidad y permanece bajo el radar a medida que se carga solo en la memoria».